Seguretat Informàtica

UF4 Seguretat Activa – Part 2

Vulnerabilitats

Xavier Sala Pujolar

Institut Cendrassos
Un atacant intentarà
aprofitar-se de les
vulnerabilitats del punts dèbils en la
sistema defensa
Una vulnerabilitat és una fallada
que permet saltar-se les
restriccions de seguretat
 Vulnerabilitats

Vulnerabilitats
de programari

Usuaris
Errors de
configuració
Una funció de la seguretat informàtica és
mitigar les vulnerabilitats

Sé una forma de
fer que els usuaris
no xerrin les
contrasenyes ...
Els errors de
configuració
són una
vulnerabilitat
Un programa
pot funcionar Jo no estic mal
tot i estar configurat...
mal configurat Només espatllat!
La mala configuració d’un servei pot portar
problemes
Utilitzar sistemes obsolets o que se sap que
són vulnerables...

WEP
No actualitzar els programes ...
Les contrasenyes per defecte són un altre
exemple de mala configuració
Com poden ser
els usuaris una
vulnerabilitat
Enganyar els usuaris
és una de les formes
més efectives d’atacar
un sistema
És fàcil convèncer un
usuari per instal·lar un
programa “que
necessita” És corrent fer servir
cracks per introduir
malware
Els usuaris estan dins de la
xarxa d’àrea local...

Qualsevol accés,
programa executat,
també hi serà
Vulnerabilitats de
programari
El programari s’està fent cada
vegada més complex

El seu wisky ja està

preparat
És impossible evitar que tinguin
errors ( bugs )

Discriminant Normalment,
els insectes? només faran que el
programa deixi de
funcionar bé
Un bug és més greu quan es
converteix en una vulnerabilitat

Vulnerabilitat? No
m'havia de
convertir en una
papallona?
Una vulnerabilitat és una fallada
que permet saltar-se les
restriccions de seguretat
Hi ha tantes vulnerabilitats que se’ls
han creat codis d’identificació

CVE-2015-347
CVE-2008-067

CVE-2016-001
El sistema més popular és el CVE
(Common Vulnerabilities and Exposures)

Any de la
vulnerabilitat

CVE - 2015 - 4598

Identificació
Hi ha pàgines que classifiquen les
vulnerabilitats
El CVSS dona una estimació de la
perillositat d’una vulnerabilitat (Common
Vulnerability Scoring System)

Ep que ell no
és un insecte!

0 10
Varia durant el temps
Des de que es descobreix la
vulnerabilitat fins que s’arregla
passa un temps

Durant aquest temps

si hi ha un expoit es
coneix com a
ZERO DAY

Són MOLT
PERILLOSOS
Hi ha empreses que compren els
Zero Days

Per això cada cop és

més difícil trobar-ne

eviten que
“corrin lliures”
Els administradors han de
localitzar les vulnerabilitats
del seu sistema

...
Una de les formes és fer servir els
escàners de vulnerabilitats

Permeten detectar
vulnerabilitats abans
RETINA
que siguin aprofitades
Algunes imatges són d’OpenClipart.org i d’altres són meves Versió 4 - 2015